ESET Warnung: Spyware InvisiMole verwandelt PCs in komplexe Überwachungssysteme

Forschungseinrichtungen und Großunternehmen im Visier

Angreifer können mit der hochspezialisierten Malware sehen und hören, was rund um den Nutzer gerade geschieht und können alles unbemerkt mitschneiden. Zudem registriert InvisiMole Veränderungen an Datenträgern, Dateien und Dokumenten, um ausschließlich die aktuellen Daten zu stehlen.

Dazu erklärt ESET Security-Experte Thomas Uhlemann:

"Die Cyberkriminellen hinter dem Spionageprogramm haben es primär auf High-Potential-Ziele abgesehen, wie beispielsweise Forschungseinrichtungen oder Großunternehmen. Zudem vermeiden sie eine groß angelegte Verbreitung, weshalb die komplexe Spyware gut fünf Jahre unentdeckt blieb. Nur wenige Dutzend Computer sind betroffen, unter anderem in der Ukraine und Russland"

Eine Malware mit zahlreichen Funktionen

Die Malware besitzt eine modulare Architektur. Zu den Bestandteilen gehören zwei funktionsreiche Backdoors, die so viele Informationen wie möglich sammeln. Sie unterstützen Befehle wie Dateisystemoperationen, Dateiausführung, Manipulation von Registrierungsschlüsseln oder Remote-Shell-Aktivierung. InvisiMole untersucht den infizierten Computer und liefert Fakten über Systeme und Netzwerke - von der Auflistung aktiver Prozesse, Dienste und Treiber bis hin zur IP-Forward-Tabelle und der Geschwindigkeit der Internetverbindung. Sie nimmt auch Screenshots auf und listet alle Dateien auf festen und temporären Laufwerken in einer verschlüsselten Datei.

InvisiMole kann drahtlose Netzwerke scannen, die auf dem System aktiviert sind. Die Malware zeichnet Informationen wie SSID und MAC-Adresse der sichtbaren Wi-Fi-Zugangspunkte auf. Diese Daten lassen sich mit öffentlichen Datenbanken vergleichen, so dass die Angreifer wissen, wo sich das Opfer gerade aufhält.

Warum war sie so schwer zu finden?

Bislang ist noch nicht bekannt, wann die Malware kompiliert wurde. Bei der Bearbeitung der aktuellen Wrapper-DLLs setzten die Cyberkriminellen die PE-Zeitstempel auf null. Die Wrapper-DLL wurde mit dem Free Pascal Compiler entwickelt. In einer früheren Version der Malware entdeckten die ESET-Forscher die Angabe "13. Oktober 2013". Die DLL wird in den Windows-Ordner gelegt und gibt sich als legitime mpr.dll-Bibliotheksdatei mit einer gefälschten Versionsinfo-Ressource aus. Vor Entdeckung schützt sich die Malware zusätzlich durch die Verschlüsselung von Strings, internen Dateien, Konfigurationsdaten und der Netzwerkkommunikation. Bisher konnte auch noch nicht geklärt werden, wie die Malware auf die infizierten Rechner gelangt. Hier sind alle Möglichkeiten offen, sogar ein physikalischer Zugang zum Gerät.